Laut BleepingComputer haben zwei Experten des Cybersicherheitsunternehmens watchTowr, Benjamin Harris und Aliz Hammond, viele abgelaufene Domänen entdeckt, die zur Kontrolle nicht autorisierter Zugriffspunkte auf der ganzen Welt verwendet wurden. Durch die Neuregistrierung der Domänen übernahm das Team die Kontrolle und verhinderte, dass die Schwachstellen der Website in Zukunft erneut ausgenutzt werden konnten.

Dazu richteten die Forscher ein System ein, das die Anfragen der jeweiligen Schadsoftware aufzeichnet. Sie stellten fest, dass die Software immer noch lief und Anfragen von kompromittierten Systemen sendete, obwohl sie nicht mehr aktiv betrieben wurde. Dadurch identifizierten sie mehrere Opfer und beliebte Schadsoftware wie r57shell, c99shell und China Chopper.

Diese nicht autorisierten Zugriffspunkte sind auf vielen Servern von Regierungen, Universitäten und großen Organisationen auf der ganzen Welt installiert. Zu den Opfern zählten Systeme in China, Thailand, Südkorea, Nigeria und Bangladesch. Unter anderem wurden einige Systeme von Regierungsbehörden und Gerichten in China kompromittiert.

Die Komplexität dieser Software reicht von fortgeschrittenen Angriffstools organisierter Hackergruppen bis hin zu einfacherer Software. Dies führte bei den Forschern zu dem Verdacht, dass mehrere verschiedene Cyberangriffsgruppen mit unterschiedlichem Können beteiligt waren. Einige Quell-IP-Adressen waren mit den Regionen Hongkong und China verknüpft, Experten zufolge handelte es sich dabei jedoch wahrscheinlich nur um Zwischenserver und nicht um einen eindeutigen Beweis für den Ursprung der Angriffe.

Ein Teil der Raubkopien wurde mit der Lazarus Group in Verbindung gebracht, einer berüchtigten Hackergruppe. In diesem Fall gehen Experten jedoch davon aus, dass sie möglicherweise von anderen Angreifern wiederverwendet wurden.

Zum Zeitpunkt der Veröffentlichung lag die Zahl der entdeckten Schwachstellen bei 4.000, die Forscher warnen jedoch, dass die tatsächliche Zahl viel höher sein könnte, da noch nicht alle kompromittierten Systeme identifiziert wurden. Die Kontrolle und Beseitigung dieser Schwachstellen wird als wichtige Maßnahme angesehen, um zu verhindern, dass sie in Zukunft für böswillige Zwecke ausgenutzt werden.